中國信息安全 - 論壇·原創 | 美國數據治理的現狀、挑戰和新應對－鑽石舞台

Jul 25 Mon 2022 23:01
中國信息安全 - 論壇·原創 | 美國數據治理的現狀、挑戰和新應對

掃碼訂閱《中國信息安全》雜誌

權威刊物重要平台關鍵渠道

郵發代號 2-786

文│蘭州大學中亞研究所、政治與國際關係學院副教授李益斌蘭州大學馬克思主義學院博士研究生劉洋

新冠肺炎疫情的肆虐導致全球數字化轉型加劇，進一步引發數據治理相關議題的研究熱潮。伴隨數字技術的普及應用，數據治理問題愈發凸顯。美國作為全球數據治理領域的主導國，其數據治理的現狀與面臨的挑戰如何，值得深入探究。

一、美國數據治理的「金字塔」結構

數據不僅是國家治理的重要工具，更是關乎國家安全和國際競爭力的關鍵因素。儘管當前美國在數字領域依舊身處全球互聯網價值鏈的頂端，但是對外需應對中國等後發國家的追趕，對內則面臨數據安全隱患的頻發。為維護美國自身在數字領域的守成國優勢，長期以來，美國形成了一套較為完整的「金字塔」式的數據治理機制。具體而言，這個數據治理機制包括「塔尖」式的頂層設計，「塔中」式的中層銜接和「塔基」式的基層實踐三個層面。

（一）美國數據治理的頂層設計

美國數據治理的頂層設計顧名思義是指從美國國家層面出發，完善戰略層面的部署。尤其注重改進政府公共部門的數字化工作，更好地管理、保護和共享數據，為美國民眾服務。美國在大數據領域的國家戰略部署始於奧巴馬時期，自 2012 年以來至今，美國作為全球數據治理領域的領跑者，有諸多值得借鑑之處。

2012 年 3 月，奧巴馬政府頒布《大數據研發倡議》（Big Data Research andDevelopment Initiative），這是美國歷史上首個以大數據研發為核心的國家級戰略。在此倡議促進下，聯邦機構、科研院所及社會企業在大數據研發、管理及應用等方面進行了積極探索，取得了明顯進展。2012 年 5 月，奧巴馬政府繼而發布戰略《數字政府：構建一個 21世紀平台以更好地服務美國人民》（DigitalGovernment：Building a 21st Century Platformto Better Serve the American People），為美國的數據治理奠定良好基調，形成一個以公共服務為導向，採用國家與社會共同治理的「小政府—大社會」模式的新型數字政府。2016 年5 月，美國政府推出更全面、更深入、更具體的《聯邦大數據研發戰略計劃》（The FederalBig Data Research and Development StrategicPlan），旨在構建充滿活力的國家大數據創新生態系統。這一計劃主要面向聯邦機構，尤其是涉及數據科學研發、密集型數據應用、大規模數據管理的機構，主題分別聚焦新興技術、數據質量、基礎設施、共享機制、隱私安全、人才培養、相互合作。在奧巴馬的極力推動下，美國在大數據領域取得了一定的成就。

特朗普政府延續了奧巴馬政府的數據治理發展思路，進一步挖掘數據價值。2019 年 12月，美國白宮行政管理和預算辦公室（OMB）發布《聯邦數據戰略 2020 行動計劃》（FederalData Strategy 2020 Action Plan）。該行動計劃以政府數據治理為主要視角，描繪了聯邦政府未來十年的數據願景以及 2020 年需要採取的關鍵行動，目的是在保護安全、隱私和機密的同時，充分發揮美國聯邦數據資產的潛力，加速使用數據執行任務、服務公眾和管理資源。2021 年 10 月 25 日，拜登政府發布《聯邦數據戰略 2021 行動計劃》（Federal DataStrategy 2021 Action Plan），在指導各機構應對共同的數據挑戰的過程中，使用現有的協作渠道幫助實現人工智能研究的民主化並發展聯邦勞動力的數據技能。2022 年 1 月 26 日，美國白宮行政管理和預算辦公室發布了一項聯邦戰略，旨在推動美國政府對網絡安全採取「零信任」方法。在落實拜登關於改善國家網絡安全問題上，該戰略意味着向前邁出的關鍵一步。該命令側重於推進安全措施，以顯著降低針對聯邦政府數字基礎設施的網絡攻擊風險。

從美國國家層面的戰略可見，自 2012 年以來，美國對數據治理問題始終給予高度重視，這一趨勢在當前全球數字競爭白熱化階段體現得更加明顯。

（二）美國數據治理的中層銜接

美國數據治理的中層銜接是指數據治理戰略的關鍵環節，主要包括政策協調機構；首席數據官、機構網絡和數據管理；法律和監管框架；技術能力建設、協作和知識共享等四個方面。

在政策協調機構方面，美國白宮行政管理和預算辦公室下設的數據委員會，既負責協調聯邦數據戰略的實施，也負責通知數據管理和使用的預算優先事項。這類機構還可以發揮重要的諮詢作用，確保數據戰略採用風險管理方法，預測和應對出現的政策挑戰。2019 年 1 月，時任總統特朗普正式簽署《循證決策基礎法案》（Foundations for Evidence-Based PolicymakingAct）。該法案旨為聯邦政府建立現代化的數據管理實踐、證據構建功能，提升統計效率從而為政府決策提供關鍵信息。美國政府通過循證決策得以更好地整合和利用數據，重視數據研究及數據共享，在公共部門內建立一個更成熟的數據治理生態系統，協助解決跨部門的潛在風險，從而提高政府的有效性。

此外，作為數據治理的重要一環，監管機制有助於數據標準的統一定義和執行，提高數據互操作性，簡化數據共享實踐。數據監管的根本目的是構建數據循環利用生態系統。技術能力更是數據治理機制良性運轉的核心要素。在數據治理的早期階段，政府需要通過專門的培訓提高人員的專業素養，以便後期工作的順利開展。從公共管理人員到技術人員的任命，技能差異和部門需求都需要納入考慮範圍，以促進人員在機構間的最佳流動。

中層銜接對數據治理的重要性可見一斑，機構決策、監管機制、技術實力缺一不可。

（三）美國數據治理的基層實踐

美國數據治理的基層實踐是數據治理的基礎環節，主要包括數據價值循環、國家數據基礎設施和架構。

數據價值的創造過程是一個完整的周期。它反映了整個政策提出、修訂、實施、評估的全過程。不同的參與者可以為數據價值的增加做出不同的貢獻。例如，政府高質量數據生成的舉措，有助於後期數據互操作性、共享性和開放性的提高；數據價值周期流程的科學評估，有助於確保數字化和數據驅動的轉型，避免數字世界低效流程的延續。此外，政府還大力推動公共部門和非公共部門之間的人才流動。政府職員、學者、民眾之間的有效交流能夠促進數據治理實踐的完善，幫助政府應對關鍵挑戰，尤其是關於個人健康記錄等敏感數據的訪問等領域。

國家數據基礎設施和架構是數據治理的基本依託。這一環節往往最具挑戰性。美國數據基礎設施和架構在存量上具有明顯優勢，但是在增量上與後發國家相比並不突出。先進的國家數據基礎設施和架構可以幫助推進跨機構、跨部門和跨邊界的數據共享和管理實踐，從而為交付更好的公共服務奠定基礎。在這方面，美國旨在通過加強戰略部署、重視核心技術研究來提升基礎設施復原力，從而維持其在數據基礎設施領域的主導地位。

數據治理的成效離不開基礎環節的配套，美國已經認識到自身在數字基礎設施建設方面的不足，未來着力點會有所側重。

二、美國數據治理面臨的挑戰

儘管美國在數據治理的頂層設計、中層銜接與基層實踐較為完善，但是，數據的不可控性，以及網絡空間的複雜性等因素，都會導致數據安全隱患凸顯，這在新冠肺炎疫情暴發以來體現得尤為明顯。新冠肺炎疫情期間的美國網絡安全數據泄露和黑客入侵事件數量均出現激增趨勢，使得數據治理難度加大。

（一）數據泄露事件頻發

根據德國研究型數據統計公司 Statista 的統計，美國的數據泄露數量從 2010 年的 662起大幅飆升至 2020 年的超過 1000 起。美國最大的數據泄露事件仍然是 2013 年的雅虎事件（Yahoo 2013 data breach），此次泄露的全部影響直到 2017 年 10 月才被曝光，實際上，有 30 億個賬戶遭到入侵。根據 Statista 的統計，員工人數在千人以上的大型企業受到網絡攻擊的損失最大。2020 年，每起數據泄露事件對公司造成的平均損失為 50 萬美元。值得注意的是，即使數據泄露問題變得越來越普遍，企業仍然缺乏充分的應對措施，尤其是技術實力較弱的中小企業。除了對美國個人數據的竊取，一些極其重要的政府數據也由於人為原因而被泄露。根據美國安全技術公司 DigitalGuardian 統計，美國十大政府數據泄露事件導致合計約 3.48 億美國民眾的私人信息受到這些泄露事件的影響。從美國政府部門到私營機構，美國公民的私人數據信息變得越來越不安全。

（二）網絡攻擊更加複雜

自新冠肺炎疫情蔓延以來，醫療保健行業的弱勢群體、失業人群或遠程工作者成為網絡攻擊的主要目標。同時，與新冠肺炎疫情相關的網絡釣魚電子郵件也急劇增加。勒索軟件、惡意軟件、網絡釣魚、拒絕服務四種網絡攻擊是導致數據泄露最常見的網絡攻擊形式。釣魚軟件通過冒充疾病控制和預防中心（CDC）或世界衛生組織（WHO）的代表，誘使收件人點擊惡意鏈接或打開帶有病毒的附件。惡意軟件的類型包括計算機病毒、特洛伊木馬、間諜軟件、勒索軟件、廣告軟件、蠕蟲、無文件惡意軟件或混合攻擊。由於遠程學習和工作的人數在新冠肺炎疫情期間劇增，魚叉式網絡釣魚電子郵件開始出現，惡意軟件攻擊趨向複雜。2021 年，多起重大勒索軟件攻擊事件在全球多點爆發，這些事件不僅涉及私營機構，而且還指向包括醫療在內的關鍵基礎設施。由此可見，勒索軟件攻擊已成為美國網絡安全領域主流威脅之一。

（三）數字基礎設施建設動力不足

美國網絡安全預算和網絡安全人員的缺乏，是應對網絡安全挑戰的兩大主要障礙。2021 年 2 月 11 日，美國國會預算辦公室（CBO）表示，預計未來十年，聯邦政府的財政赤字將飆升至 12.6 萬億美元。預算的缺乏、人才的不足，導致美國財政以及人才隊伍難成為數字升級的有效支撐。美國的信息技術部門很難吸引那些在私企薪水頗豐的頂級技術人才，導致城市警務和社會服務的水平較為落後。即便某些部門可能有足夠的預算，可是考慮到職業的發展前景，頂級技術人才仍然不願意供職於公共部門。新冠肺炎疫情導致遠程工作的依賴程度加深、勒索軟件對城市攻擊加劇，城市更難防範勒索軟件攻擊。

三、美國數據治理的最新應對

針對美國數據治理存在的問題，尤其是新冠肺炎疫情蔓延對此類問題的激化，拜登政府採取了一系列應對措施，希望通過轉移矛盾、政企結合、加強隱私保護等舉措，改善數據治理問題。但是，由於新冠肺炎疫情的持續與反覆，政策落地有效性不足等因素，治理成效並不明顯。

（一）對外轉移矛盾轉嫁危機

在美國國內各種問題頻發之際，疲於應對的美國政府將矛頭指向中國等外部目標，轉移國內民眾的注意力，以此掩蓋自身的問題。美國的這種做法屬於典型的對外轉嫁危機。

美國聯合其盟友將中國歸結於其網絡安全問題的「罪魁禍首」。2021 年 7 月 19 日，美國及其盟友先後發布聲明，將 2021 年 3 月發生的微軟 Exchange 服務器遭受全球網絡攻擊事件歸責於中國，指責中國政府是此次攻擊的支持者和全球網絡的破壞者。面對美方及其盟友的無端指責，中方表達強烈不滿以及堅決反對。黑客攻擊是全球性的問題，需要國際社會合作應對，中國亦是網絡攻擊的主要受害國之一。

2021 年 10 月，美國國家情報總監辦公室（ODNI）發布《2021 年度威脅評估報告》（2021 Annual Threat Assessment of the U.S.Intelligence Community），稱中國對美國基礎設施安全和網絡安全構成「威脅」。發布於 2022 年 3 月的《2022 年度威脅評估報告》（2022 Annual Threat Assessment of the U.S.Intelligence Community）再次強調，由於中國的目標是關鍵行業以及來自美國及其相關公司和機構的專有商業和軍事技術，中國仍將是美國技術競爭力的最大威脅。

（二）對內加速政府技術改革並呼籲科技公司協助

拜登政府的《聯邦數據戰略 2021 行動計劃》強調，2021 年，政府各機構應努力提高所有員工隊伍的數據素養，增加專業發展機會，並僱傭具有必要數據技能的員工，填補當前的技能缺口，到 2022 年底，各機構應保證員工隊伍的數據素養達到最低要求，並積累足夠的數據技能從而有效地執行數據生命周期的各個方面的任務。

除政府層面的努力，美國的科技公司對美國數據治理也是一股較為強大的助力。在數字科技領域，美國具有良好的技術基礎和先發優勢，尤其是全球頂尖的科技巨頭公司幾乎全部來自美國。因此，在數據治理方面，科技公司的作用日益被政府青睞。新冠肺炎疫情的倒逼作用，為美國數據治理提供了契機。

複雜且頻繁的網絡攻擊導致企業損失慘重，數字技術正在成為犯罪分子的目標。2021年 8 月，拜登與亞馬遜、微軟和蘋果等科技公司高管舉行峰會，重點討論政企合作，以應對日益嚴重的網絡安全問題。拜登承認，聯邦政府無法獨自應對這一挑戰，而科技巨頭擁有雄厚的經濟實力與技術能力。與此同時，由於針對美國關鍵基礎設施的勒索軟件攻擊頻發，美國國會正在考慮進行有關數據泄露和網絡安全保險行業監管的立法。並且，此次峰會也重點討論了網絡安全人才不足的問題。與網絡攻擊數量日益增加、程序愈加複雜的發展趨勢相比，過硬的網絡安全人才明顯不足。在此次峰會上，拜登指出，目前有大量網絡安全工作崗位無人問津。對此，微軟公司承諾，將在未來五年內投資 200 億美元的資金，還將提供 1.5 億美元的技術服務，以幫助聯邦、州和地方政府更新和完善其網絡安全系統。

（三）全面數據保護的立法需求緊迫性增加

美國對數據保護秉持以問責原則為核心的「寬鬆保護模式」。由於自身的科技實力與世界市場份額，比起隱私權保護，美國更看重數據的自由流動以及由此帶來的經濟效益。這種寬鬆保護模式使數據高效流動，數據價值得到充分發揮，但是，對數據主體而言，其保護力度明顯有限。

歐盟的《通用數據保護條例》（GDPR）基於其對人格尊嚴的獨特理解，兼以應對美國數據霸權的實際考量，將數據權利定義為一種基本權利，創建嚴格個人數據跨境流動。這樣化被動為主動的方式，對美國維持數據霸權國地位來說，無疑構成了巨大挑戰。一直以來，美國的數據保護法規較為零散，目前比較具有代表性的有 2018 年頒布的《加州消費者隱私法案》（CCPA）和將於 2023 年 1 月 1 日正式生效的《加州隱私權法案》（CPRA）。為了贏得在數據規則領域的話語權，美國更需要完整而統一的數據保護立法。

四、結語

數據治理問題已經成為重要的全球性議題。美國數據治理的核心目標是維護自身的數字領域領導權優勢。

未來十年，美國將全面遏制中國的科技發展，以確保其領先優勢。2021 年 6 月，美國國會參議院高票通過《2021 美國創新與競爭法案》（United States Innovation and CompetitionAct of 2021），旨在促進美國半導體生產、人工智能開發和太空探索，以應對來自中國等後發國家的強勢追趕。不僅如此，為防止技術通過第三國間接轉移至中國，美國企圖通過與其盟友打造封鎖網絡，苛刻限制中國的對外投資審查。該法案的通過表明，即使是在「黨爭」極化、政治分裂加劇的華盛頓，打壓中國、維持霸權國優勢仍然可以成為美國兩黨為數不多的共識。

由於中美之間的結構性矛盾加劇，美國對華科技打壓的戰略始終不會變。衝突往往是和平的前奏，中國要辯證看待和汲取美國數據治理的經驗與教訓。在數字競爭領域，美國的「冷戰思維」很有可能導致兩敗俱傷的後果。未來的數據治理需要開拓思維，不斷發展新思路，盡最大努力爭取全球數據治理的國際合作空間，和則兩利，斗則俱傷。【本文系國家社科基金重要國家和區域研究專項重大項目（21VGQ010）的階段性成果】

（本文刊登於《中國信息安全》雜誌2022年第4期）